■ 今天,国家互联网信息办发布了《数据出境安全评估办法(征求意见稿)》(后文简称《办法》),征求意见为期一个月。文件引起广泛关注。正如习近平总书记所指出的,信息流引领技术流、资金流、人才流。经济全球化条件下,数据跨境流动是常态,为全球经济活动、人类社会发展提供了基础支撑。因此,数据出境评估制度在世界各国的安全和发展战略中,都是一个重要事项,也是近年来国际贸易规则、协定以及多边双边磋商的重大议题,其影响十分深远。中国开放的大门正越来越大,外国人要进来,中国人要出去,任何企业的国际化经营都不可能回避数据跨境问题,故这一制度也被国内很多方面长期关注。本期小贝说安全梳理了几个普遍受到关心的焦点问题,供大家参考,也期望深化对数据出境安全评估制度的讨论。
一、如何理解《办法》与上位法的关系?
《办法》是《网络安全法》《数据安全法》和《个人信息保护法》共同确立的数据出境安全评估制度的落地细则。
《网络安全法》第37条首次规定了数据出境安全评估制度,但范围只限定在“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。事实上,很多数据出境行为未必同关键信息基础设施相关,因此《网络安全法》的规定是不完善的,大量应当规范的数据出境行为没有得到规范,为国家安全留下了漏洞。
这一缺憾后来靠《数据安全法》和《个人信息保护法》进行了弥补。逻辑是,《数据安全法》从重要数据出境方面进行弥补,《个人信息保护法》从个人信息出境方面进行弥补。
《数据安全法》第31条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。这次的《办法》即是对该条款的一种落实。这意味着,只要是重要数据出境,必须经过评估。
《个人信息保护法》第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。这次的《办法》即是明确了法律提出的“处理个人信息达到国家网信部门规定数量”。
同时,《个人信息保护法》第38条还规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备该条所列的几种不同的条件。条件之一便是通过网信部门组织的评估。这也意味着,与重要数据不同,并非所有的个人信息出境都要经过网信部门的评估。但确需评估时,要依照《办法》进行。
因此,历经四年的时间,通过《网络安全法》《数据安全法》和《个人信息保护法》这3部法律,我国终于在法律层面建立了数据出境安全评估制度。根据法律的授权,网信办制定《办法》,使数据出境安全评估制度具体落地。
二、如果理解《办法》的定位?
有必要指出,“数据出境安全评估”与“数据出境安全管理”是不同的概念。当前,我国需要建立的不仅仅是数据出境安全评估制度,而是完整的数据出境安全管理制度。
《网络安全法》第37条用语是:“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。但《数据安全法》第31条用语则是“重要数据的出境安全管理办法”。
为什么要强调“评估”和“管理”的区别呢?
首先,“管理”是目的,“评估”只是达到目的的其中一种手段,是数据出境的其中一种条件。重要数据出境要经过网信部门评估,但个人信息出境不是必然要经过网信部门评估,《个人信息保护法》还给出了个人信息出境的其他场景(条件)。但是,无论任何一种数据出境场景,即使不进行评估,但也要满足有关要求。而其他的具体要求,也还需后续通过政策文件进行明确。例如,《个人信息保护法》第38条规定,按照国家网信部门的规定经专业机构进行个人信息保护认证的,也可以进行个人信息出境。但这个“专业机构进行个人信息保护认证”怎么操作,仍需要后续制定政策文件进行明确,但其已经不属于“数据出境安全评估”的范畴。
其次,“管理”涉及数据出境的事前、事中、事后,而“评估”只是一个特定时刻的活动(虽然《办法》也强调了事前和事后,但这不是重点)。无论采用何种出境形式,数据出境前都需要进行自评估,个人信息尤其需要进行个人信息安全影响评估;出境过程中要履行安全保护责任;出境后要监督数据接收方的义务履行,防范数据出境安全风险;出现纠纷后,还涉及到跨境追责问题。这些事项已经超出了数据出境安全评估制度的范畴,但确实需要作出规定。
因此,无论《办法》多么重要,其只能是我国数据出境安全管理制度的一部分,后续还需要制定出台另外的法规政策文件,共同构建我国数据出境安全管理制度。
三、如何理解《办法》同以前征求意见稿的关系?
《网络安全法》在2016年审议通过以来,国家网信部门共对3个文件公开征求了意见。
第一次是2017年4月11日,国家互联网信息办公室对《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见。
第二次是2019年6月13日,国家互联网信息办公室对《个人信息出境安全评估办法(征求意见稿)》公开征求意见。
第三次是2021年10月29日,即今日,国家互联网信息办公室对《数据出境安全评估办法(征求意见稿)》公开征求意见。
为什么会有三次?这反映了政策不断完善的过程。
第一次是为了与《网络安全法》在2017年6月1日实施保持同步。但显然,由于《网络安全法》第37条的规定并不完善,影响了制度的具体落地。
第二次是考虑了重要数据与个人信息的不同,所以拟对重要数据和个人信息分别制定出境安全评估办法。在具体路径上,先期研究起草了《个人信息出境安全评估办法》。但正如《个人信息保护法》所反映的,个人信息出境的情形比较多,不可能都由国家网信部门进行评估,也没有必要都进行安全评估。事实上,《个人信息出境安全评估办法(征求意见稿)》并不能解决个人信息出境的所有问题。而重要数据的定义在当时尚不明确,《重要数据识别指南》一直在制定之中,所以《重要数据出境安全评估办法》没有公开征求意见。
直到这一次,在《数据安全》和《个人信息保护法》的补充下,数据出境安全评估制度已经在法律上比较完善,制定具体落地办法的条件终于成熟。
因此,随着《数据出境安全评估办法(征求意见稿)》征求意见,《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法》已自然废止。
四、如何理解《办法》规范的对象?
如前所述,“数据出境安全评估”和“数据出境安全管理”是不一样的。所有数据出境,都应当进行管理(个人、家庭生活的个人信息出境除外),但并非所有数据出境都应当进行评估。
《办法》规定应当评估的是几类数据:
一是关键信息基础设施的运营者收集和产生的个人信息和重要数据。这是《网络安全法》所规定的。
二是出境数据中包含重要数据。这是《数据安全法》所补充的。
三是处理个人信息达到一百万人的个人信息处理者向境外提供个人信息。这是《个人信息保护法》提出的“达到国家网信部门规定数量”的情况。
四是累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。这也是《个人信息保护法》提出的“达到国家网信部门规定数量”的情况。
五是国家网信部门规定的其他需要申报数据出境安全评估的情形。不排除将来会根据工作需要提出其他的评估条件。这是《个人信息保护法》第38条“法律、行政法规或者国家网信部门规定的其他条件”所作的授权。
但是,不能认为上述条件以外的其他数据就可以任意出境,也不能认为数据发送方和接收方就没有数据安全保护义务。《个人信息保护法》第38条还列出了2种不需要评估的个人信息出境情形:按照国家网信部门的规定经专业机构进行个人信息保护认证;按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。不排除,将来还会规定其他不需要安全评估但也需管理的其他情形。
那么,其他数据出境情形还需要参考《办法》吗?答案是“是的”。以为无论任何一种数据出境情形,至少有两类要求是都要得到遵循的。
一是出境前的自评估。数据能不能出去?接收方是否可靠?安全保护措施是否健全?这些事项均应考虑,与是不是采取评估形式出境无关。
二是数据发送方与数据接收方的安全保护义务。无论任何一种数据出境情形,均有数据发送方和接收方,两方均应履行相应安全义务,两方的合同中必须明确责任义务事项。
因此,在国家数据出境安全管理制度中,《办法》的第五条和第九条具有通用性。各类数据出境情形均应遵循。
五、如何理解“一百万”与“十万”的关系?
《办法》第4条提出,处理个人信息达到一百万人的个人信息处理者向境外提供个人信息,或累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,这两种情形均应进行出境安全评估。
这不免让人疑惑,“一百万”和“十万”什么关系?达到“一百万”时,难道不会先经历“十万”的阶段吗?既然如此,“一百万”还有什么意义呢?
这实际上反映了在信息技术广泛应用的情况下,网络运营者、数据处理者的复杂性、多样性为立法工作带来的挑战。举一个明显的例子。当年《网络安全法》在制定时,一些代表和专家提出,“法律责任”中的罚款几十、几百万,对很多互联网企业没有任何意义,因此建议千万、上亿起步,或者按营业额比例。但《网络安全法》毕竟规范的是所有“网络运营者”,除了个人、家庭自建网络外,其余都属于规范对象,因此处罚额度就必须考虑到非互联网企业的普遍情况。这导致了《网络安全法》中的经济处罚实际上对互联网企业如同“毛毛雨”,但必须这样,否则会带来另外的问题。至于对互联网企业的法律威慑力,则依靠其他的行政处罚手段体现。
同样,在考虑对数据处理者的数据出境行为进行规范时,要看到,传统互联网企业动辄处理几十万、上百万的个人信息。如果把这个阈值定的过低,会导致大量互联网企业在数据出境时只能选择网信部门安全评估方式,无论对企业还是政府部门工作而言都带来太高成本。但同时也要看到,在5G广泛应用、万物互联的趋势下,工业互联网已经成为互联网的一部分,车联网使汽车成为互联网的一部分,甚至身联网使人的身体成为互联网的一部分,有的时候几万、几十万个人信息已经达到了一个企业处理的个人信息的天花板,但这几十万的量却影响十分巨大。例如,一个车企,一年卖十万辆智能汽车是不错的成绩了,如果把阈值定在一百万,那么一些可能存在严重国家安全、数据安全隐患的智能汽车企业,将被排除在安全评估制度之外,这显然也是不合适的。
因此,《办法》中同时出现了“一百万”和“十万”的条件值。两者应该适用于不同的情况。当然,如果在措辞上存在模糊,今后可以进一步修改完善。
《办法》第七条指出,国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。这意味着,如果在实践中数据处理者不清楚其数据出境是否属于被评估对象,特别是对“一百万”、“十万”存在歧义的,国家网信部门会结合其业务特点进行判断,作出是否进行评估的决定。
六、网络安全审查制度与数据出境安全评估制度什么关系?
今年7月,国家互联网信息办对《网络安全审查办法(修订草案征求意见稿)》公开征求意见。其重要改动是,将数据处理者开展数据处理活动纳入审查范围,特别是规定,掌握超过一百万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
那么,如何理解《网络安全审查办法(修订草案征求意见稿)》中的“掌握超过一百万用户个人信息的运营者赴国外上市”,与《数据出境安全评估办法(征求意见稿)》中的“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”之间的关系呢?
可以从以下几个方面理解:
首先,数据出境安全评估制度是一个框架性制度,“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”涵盖了“掌握超过100万用户个人信息的运营者赴国外上市”的情况。换言之,“掌握超过一百万用户个人信息的运营者赴国外上市”是一种典型的数据出境行为,既然达到了“一百万”,则自然进入国家网信部门安全评估制度程序。
其次,网络安全审查制度和数据出境安全评估制度属于不同的制度,一般制度的原则要遵循,但具体制度优先一般制度。就国外上市而言,由于上市的场景特殊,数据安全风险较大,故在数据出境安全评估制度框架下,进行特别处理,实有必要。但这个审查(即“特别处理”)依然要符合数据出境安全评估制度的原则要求,只是程序更复杂、要求更多而已。通过了国外上市的网络安全审查,也意味着满足了数据出境安全评估制度的要求。因此,就当次数据出境而言,通过了网络安全审查后,就应该不用再重复进行数据出境安全评估。但这不意味着该企业以后的数据出境行为不用再进行评估,只是本次不进行重复评估。
第三,即使企业掌握的个人信息不到一百万人,也不属于“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的条件,也要履行数据安全义务,也依然要受到数据安全监管。《个人信息保护法》第38条规定的条件必具其一。即使不属于数据出境安全评估的条件,也必然会落到其他几种条件之一,依然属于国家数据出境安全管理的规范对象。企业如果不履行相应的数据安全义务,也可能违法。
第四,网络安全审查制度并没有赋予地方网信部门的执行权限,而数据出境安全评估制度则赋予了地方网信部门的有关权限。由于国外上市的网络安全审查属于具体场景,关于地方网信部门的职责,执行中应当按照网络安全审查制度。
|小贝结语|
■ 小贝说安全以问答形式,从六个具体问题出发,对《数据出境安全评估办法(征求意见稿)》作了解读。但这只是我们的个人理解,仅供参考。可能有不当之处,欢迎批评指正。
声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。